Jeśli próbujesz sfederować serwer ArcGIS Server z witryną Portal for ArcGIS, pamiętaj, że sposób administrowania serwerem ArcGIS Server zmieni się po sfederowaniu. Kluczowe różnice w administrowaniu serwera sfederowanego są wymienione poniżej.
Różnice w zakresie zabezpieczeń
Po sfederowaniu serwera ArcGIS Server z portalem całym dostępem do serwera steruje magazyn zabezpieczeń portalu. Ma to także wpływ na sposób uzyskiwania dostępu do serwera sfederowanego i administrowania nim.
Użytkownicy, role i uprawnienia
Sfederowanie powoduje unieważnienie wszystkich użytkowników, ról i uprawnień skonfigurowanych wcześniej w usługach ArcGIS Server. Dostęp do usług jest wówczas określany w oparciu o członków portalu, grupy oraz uprawnienia udostępniania.
Podobnie jak ArcGIS Server portal oferuje następujące poziomy uprawnień: Użytkownik, Publikujący oraz Administrator. Portal udostępnia także rolę Przeglądający o ograniczonym zestawie uprawnień. Portal dodatkowo zawiera rolę niestandardową, która jest traktowana przez serwer sfederowany jako rola użytkownika. Należy skonfigurować i sprawdzić te uprawnienia w swoim portalu przed udostępnieniem serwera sfederowanego użytkownikom końcowym.
Podczas federowania elementy są automatycznie tworzone w portalu dla wszystkich istniejących usług internetowych ArcGIS Server. Te elementy stanowią własność administratora przeprowadzającego federację. Po federacji własność może zostać przypisana do obecnych członków portalu według potrzeb. Wszelkie elementy albo usługi dodane do portalu po federacji są własnością członka, który je utworzył.
Po federacji zostaje wyeliminowana możliwość identyfikacji dostępu. Na przykład każdy użytkownik z uprawnieniami publikującego może publikować na dowolnym serwerze sfederowanym. Jednak można zmienić ustawienia bezpieczeństwa serwera sfederowanego, aby ograniczyć dostęp administratora i publikującego. Aby uzyskać więcej szczegółów, zobacz Szczegółowa kontrola dostępu do serwera sfederowanego.
Rola Przeglądający
Członkowie, którym przypisano tę rolę, mogą łączyć się z serwerem ArcGIS Server i korzystać z jego usług. Po połączeniu przeglądającego z serwerem sfederowanym wszelkie usługi udostępniane przeglądającemu albo grupie, której członkiem jest przeglądający, mogą być wyświetlane i używane. Przeglądający mają dostęp do niestandardowego widoku witryny internetowej portalu i mogą używać map, aplikacji, warstw oraz narzędzi instytucji, a także dołączać do należących do niej grup. Przeglądający nie mają uprawnień do tworzenia i udostępniania elementów, ani do bycia ich właścicielami.
Rola użytkownika
Członkowie, którym przypisano tę rolę, mogą łączyć się z serwerem ArcGIS Server i korzystać z jego usług. Po połączeniu użytkownika z serwerem sfederowanym, wszelkie usługi udostępniane użytkownikowi albo grupie, której członkiem jest użytkownik mogą być wyświetlane i używane. Użytkownicy mają dostęp do niestandardowego widoku witryny portalu i mogą używać map, aplikacji, warstw oraz narzędzi instytucji, a także dołączać do należących do niej grup. Użytkownicy mają również możliwość tworzenia map i aplikacji, dodawania elementów, udostępniania zasobów oraz formowania grup.
Rola publikującego
Publikujący mogą pracować tylko z usługami, które utworzyli w portalu. Nie mogą zmieniać ani usuwać usług opublikowanych przez inne osoby. Na przykład przy połączeniu z serwerem sfederowanym w aplikacji ArcMap wyświetlą się tylko usługi opublikowane przez osobę publikującą. Osoby publikujące posiadają uprawnienia użytkownika i mogą również wykonywać analizę na warstwach map.
Każdy, kto posiada uprawnienia publikującego może publikować na dowolnym serwerze sfederowanym. Usługi publikowane na serwerze sfederowanym są dodawane automatycznie do portalu jako elementy. Usługi hostowane publikowane bezpośrednio w portalu pojawiają się jako elementy w portalu i jako usługi na serwerze hostującym.
Rola administratora
Administratorzy posiadają uprawnienia użytkownika i osoby publikującej oraz mają dostęp do wszystkich usług hostowanych przez serwer sfederowany. Administratorzy mają również uprawnienia zarządzania portalem i wszystkimi jego członkami. Portal musi mieć co najmniej jednego administratora. Nie ma jednak żadnych limitów odnośnie tego ile osób może administrować w ramach jednej instytucji. Na przykład, jeżeli portal ma pięciu członków, każdy z nich może być administratorem.
Rola niestandardowa
Rola niestandardowa obejmuje określony zestaw uprawnień zdefiniowany przez administratora. Na przykład użytkownik może mieć możliwość tworzenia zasobów, ale bez możliwości tworzenia grup. Albo też może mieć uprawnienia do publikowania obiektów, ale nie kafli. Należy zauważyć, że rola niestandardowa z uprawnieniami do publikowania wszystkiego (obiektów, tytułów lub scen) będzie także miała możliwość tworzenia innych typów usług ArcGIS Server. Ta funkcjonalność może zostać ograniczona w przyszłej wersji, aby uniemożliwić takie procedury wykonywania zadań. Zaleca się, aby użytkownikom, którzy potrzebują mieć możliwość publikowania usług ArcGIS Server, nadawać predefiniowaną rolę publikującego.
Szczegółowa kontrola dostępu do serwera sfederowanego.
Możesz tak zaktualizować serwer sfederowany, aby ograniczyć dostęp do publikowania i administrowania. Po aktualizacji wszyscy administratorzy portalu będą posiadać uprawnienia administracyjne ma serwerze. Członkowie portalu z uprawnieniami osoby publikującej nie otrzymają domyślnego dostępu do publikowania na serwerze. Zamiast tego dostęp do publikowania na serwerze jest kontrolowany przez grupę o nazwie [federated server name]_Publikujący lub element [federated server name]_Publikujący. Aby uzyskać uprawnienia publikowania na serwerze, członek portalu musi albo być członkiem grupy [federated server name]_Publikujący albo członkiem grupy, w której został udostępniony element [federated server name]_Publikujący. Podobnie dodatkowy dostęp administratora do serwera jest kontrolowany przez grupę o nazwie [federated server name]_Administratorzy lub element [federated server name]_Administratorzy. Członek portalu musi być albo członkiem tej grupy lub członkiem grupy, w której został udostępniony element, aby uzyskać dostęp administracyjny do serwera.
Szczegółowa kontrola dostępu jest konfigurowana przez ArcGIS Portal Directory. Po sfederowaniu serwera z portalem wykonuj etapy wymienione poniżej, aby zaktualizować serwer i umożliwić tę kontrolę.
- Zaloguj się do ArcGIS Portal Directory jako członek portalu z uprawnieniami administratora. Adres URL Portal Directory ma format https://portal.domain.com/arcgis/portaladmin.
- Przejdź do sekcji Serwery > sfederowane i kliknij serwer, który chcesz edytować.
- Kliknij przycisk Aktualizuj.
- W rozwijanym menu Rola serwera wybierz Serwer sfederowany z ograniczoną możliwością publikowania.
- Kliknij polecenie Aktualizuj serwer.
Możesz teraz zobaczyć grupy [nazwa serwera sfederowanego]_Administratorzy i [nazwa serwera sfederowanego]_Publikujący oraz odpowiednie elementy na stronie Moje zasoby. Będą one własnością członka portalu, który dokonał aktualizacji serwera.
Połącz z aplikacją Manager
Połączenie z aplikacją ArcGIS Server Manager można nawiązać tylko za pomocą konta z rolą administratora lub publikującego. Nie możesz zalogować się do aplikacji Manager przy użyciu konta przypisanego do roli przeglądającego lub użytkownika. Nie możesz się również zalogować, używając głównego konta administratora serwera. Podczas nawiązywania połączenia należy skorzystać z adresu URL protokołu HTTPS i zawierającego w pełni kwalifikowaną nazwę domeny serwera:
- W przypadku nawiązywania bezpośredniego połączenia z ArcGIS Server adres URL ma format https://gisserver.domain.com:6443/arcgis/manager. Jeżeli witryna zawiera wiele serwerów GIS, będzie to adres URL urządzenia określonego dla opcji Adres URL administratora przy integrowaniu swojej witryny.
- Jeżeli połączenie jest nawiązywane za pomocą aplikacji ArcGIS Web Adaptor, należy się upewnić, że w aplikacji ArcGIS Web Adaptor włączono dostęp administracyjny. Adres URL używany do nawiązania połączenia ma format https://webadaptorhost.domain.com/webadaptorname/manager.
Jeżeli portal został skonfigurowany tak, aby korzystać z wbudowanego magazynu tożsamości bądź z protokołu LDAP (ang. Lightweight Directory Access Protocol), konieczne jest podanie nazwy użytkownika i hasła powiązanych z kontem portalu. Jeżeli portal skonfigurowano z Windows Active Directory, konieczne może być podanie danych uwierzytelniających systemu Windows lub automatyczne zalogowanie się w aplikacji Manager.
Połączenie z serwerem w oprogramowaniu ArcGIS Desktop
W oprogramowaniu ArcGIS Desktop połączenie z serwerem można nawiązać za pomocą dowolnego konta portalu, na przykład konta z rolą przeglądającego, użytkownika, publikującego lub administratora. Połączenie z serwerem można również nawiązać przy użyciu konta głównego administratora serwera z poziomu serwera ArcGIS Server.
Notatka:
Z poziomu aplikacji ArcGIS Server mogą się łączyć z serwerem ArcGIS Pro wyłącznie użytkownicy i dlatego, nawet po podaniu konta publikującego lub konta administratora, nie można publikować w serwerze ArcGIS Server ani nim administrować z poziomu aplikacji ArcGIS Pro. Aby nawiązać połączenie publikującego lub administratora z klientem aplikacji ArcGIS Desktop, należy użyć aplikacji ArcMap.
Podczas podawania Adresu URL serwera w momencie nawiązywania połączenia z serwerem za pomocą kreatora Dodaj ArcGIS Server należy podać adres URL protokołu HTTPS zawierający w pełni kwalifikowaną nazwę domeny serwera:
- W przypadku nawiązywania bezpośredniego połączenia z ArcGIS Server adres URL ma format https://gisserver.domain.com:6443/arcgis.
- Jeżeli połączenie jest nawiązywane za pomocą aplikacji ArcGIS Web Adaptor przez użytkownika pełniącego rolę publikującego bądź administratora, należy upewnić się, że w aplikacji Web Adaptor włączono dostęp administracyjny. Adres URL używany do nawiązania połączenia ma format https://webadaptorhost.domain.com/webadaptorname/manager.
Jeżeli portal został skonfigurowany tak, aby korzystać z wbudowanego magazynu tożsamości bądź z protokołu LDAP (ang. Lightweight Directory Access Protocol), konieczne jest podanie nazwy użytkownika i hasła powiązanych z kontem portalu. Jeśli portal został skonfigurowany z Windows Active Directory, nie należy wprowadzać danych uwierzytelniających systemu Windows w oknie kreatora; należy kliknąć przycisk Zakończ, a połączenie z serwerem zostanie nawiązane automatycznie. Jeżeli chcesz nawiązać połączenie z ArcGIS Server za pomocą konta głównego administratora witryny, podaj poświadczenia dla konta.
Połączenie z katalogami ArcGIS Server Administrator Directory i Services Directory
Podczas łączenia się z katalogiem ArcGIS Server konieczne może być podanie tokena portalu. Strona logowania zawiera instrukcje dotyczące uzyskania tego tokena. Więcej informacji można znaleźć w części Uzyskiwanie dostępu do katalogu Administrator Directory z poziomu serwera sfederowanego. Ewentualnie możesz się zalogować, używając konta głównego administratora serwera, jeżeli łączysz się bezpośrednio przez port 6080 lub 6443.
Podczas łączenia się z katalogiem ArcGIS Server Services Directory nie trzeba podawać tokena. Możesz się zalogować, używając danych logowania do portalu. Logowanie nie będzie możliwe przy użyciu konta głównego administratora witryny.
Zachowanie serwera hostującego portalu
Zdefiniowanie serwera sfederowanego, aby pracował także jako serwer hostujący portalu zapewnia portalowi potężne zaplecze. Umożliwia to wszystkim użytkownikom portalu posiadającym przynajmniej uprawnienia publikującego do publikowania map kafelkowych, usług obiektowych i usług scen (warstwy kafli i warstwy obiektów i warstwy scen). Nie muszą oni posiadać na swoich komputerach żadnych produktów ArcGIS. Mogą po prostu publikować usługi, wczytując plik shape lub CSV w witrynie portalu, jednak publikowanie za pomocą aplikacji ArcMap jest nadal możliwe.
Wszystkie usługi publikowane przez użytkowników portalu bezpośrednio w portalu są usługami hostowanymi i są umieszczone w folderze ArcGIS Server o nazwie Hostowane. W ten sposób można śledzić, które usługi są usługami hostowanymi, a które nie. Usunięcie usługi hostowanej w portalu powoduje usunięcie jej również z serwera. Nie dotyczy to usług publikowanych na serwerze sfederowanym. W przypadku usunięcia z portalu usługi opublikowanej na serwerze sfederowanym usługa ta nie jest usuwana z serwera.
Rodzaje usług wymienione w folderze Hostowane różnią się od tych w innych folderach na serwerze. Ma to na celu dopasowanie określonych rodzajów elementów, które są wyświetlane w witrynie Portal for ArcGIS. W poniższej tabeli przedstawiono wszystkie obsługiwane hostowane usługi i ich zaktualizowane rodzaje elementów:
Typ usługi ArcGIS Server | Typ elementu hostowanego foldera witrynyPortal for ArcGIS |
---|---|
Usługa mapy kafelkowej | Warstwa kafli |
Usługa mapy kafelkowej z usługą obiektową | Warstwa kafli i obiektów |
Usługa obiektowa | Warstwa obiektów |
Usługa rastrowa* | Warstwa zobrazowań |
Usługa scen | Warstwa sceny |
Usługa WFS | Warstwa WFS |
*Usługa rastrowa stanowiąca podstawę hostowanej warstwy zobrazowań działa na serwerze analiz rastrowych portalu, a nie na serwerze hostującym portalu.
Gdy wyświetlasz i edytujesz właściwości usługi hostowanej w aplikacji Manager lub ArcMap, dostępny będzie tylko podzestaw oczekiwanych funkcji lub operacji serwera ArcGIS Server. Na przykład niektóre usługi nie będą wyświetlać informacji o instancjach w galerii usług lub zakładce usług Zbiór w aplikacji Manager.
Gdy do zarządzania usługami hostowanymi używane jest okno Katalog w aplikacji ArcMap, należy używać węzła Moje hostowane usługi zamiast węzła połączeń Serwery GIS. Dzięki temu dla użytkownika widoczne będą wyłącznie możliwości dostępne za pośrednictwem portalu.
Serwer hostujący powinien dysponować przestrzenią magazynową, procesorem i pamięcią odpowiednimi do obsługi hostowanych usług. Należy dokładnie przeszkolić publikujących i monitorować wskaźniki operacyjne serwera, aby uniknąć przekroczenia jego możliwości.
Uwagi dotyczące warstw kafli i zadań w pamięci podręcznej
Warstwy kafli mają szczególne wymagania ze względu na moc obliczeniową używaną na jedno duże zadanie realizowane w pamięci podręcznej lub wiele zadań jednocześnie. Publikując warstwę kafli w dużej skali dla bardzo dużego obszaru, nieprzeszkolony publikujący portalu może przesłać na serwer bardzo duże zadanie przetwarzane w pamięci podręcznej, które zarezerwuje zasoby portalu na długi czas.
Istnieje możliwość złagodzenia skutków wykonywania zadań w pamięci podręcznej poprzez uruchomienie usługi CachingTools w oddzielnym klastrze ArcGIS Server z poziomu innych usług. W przypadku gdy jest to niemożliwe, można zmniejszyć liczbę instancji usługi CachingTools, które mogą być uruchomione w tym samym czasie, tym samym pozostawiając cykle procesora dostępne dla innych usług.
Można także ograniczyć liczbę zadań wykonywanych w pamięci podręcznej, które mogą być uruchomione w tym samym czasie, zmniejszając maksymalną liczbę instancji dozwolonych dla usługi CachingControllers. Domyślnie jednocześnie uruchomione mogą być trzy zadania.
Dodatkowe informacje na temat rozdzielania zasobów serwera do realizacji zadań w pamięci podręcznej można znaleźć w temacie Alokacja zasobów serwera w pamięci podręcznej.
Anulowanie sfederowania serwera z portalem
Istnieje możliwość anulowania sfederowania serwera z portalem, aby serwer i portal działały niezależnie od siebie. Proces rozdziału przebiega w następujących etapach:
- Jeśli serwer sfederowany, który ma zostać usunięty, nie jest serwerem hostującym, a usługi, które zostały opublikowane w tym serwerze stowarzyszonym, nie są już potrzebne, można zalogować się do aplikacji ArcGIS Server Manager i usunąć te usługi. Jeżeli jednak usługi te będą nadal używane, pomiń ten etap.
- Jeśli ten serwer sfederowany jest serwerem hostującym, należy zalogować się do witryny internetowej portalu i usunąć hostowane warstwy internetowe, które zostały opublikowane w portalu.
- Jeśli ten serwer sfederowany jest także serwerem hostującym i nie są już potrzebne żadne usługi działające na tym serwerze hostującym, należy wyłączyć serwer hostujący, aby użytkownicy portalu nie mogli już w nim publikować.
Uwaga:
Usunięcie serwera hostującego z portalu powoduje, że istniejące hostowane warstwy internetowe stają się bezużyteczne. Dodanie serwera hostującego z powrotem nie spowoduje, że usługi hostowane staną się znowu użyteczne. Dlatego nie należy anulować sfederowania serwera hostującego, chyba że usługi działające na tym serwerze są już niepotrzebne.
- Usuń ArcGIS Server ze swojego portalu, co spowoduje przywrócenie ustawień domyślnych magazynu zabezpieczeń ArcGIS Server oraz usunięcie wszystkich elementów portalu wczytanych z serwera w momencie jego sfederowania.
- Skonfiguruj zabezpieczenia ArcGIS Server, aby korzystać z pożądanych magazynów użytkowników i ról.